前回 は,従業員管理の一環としての誓約書にまつわる問題点を取り上げました。今回は関連する問題として,私有パソコンの企業内への持込み,あるいはその逆である業務上の情報を自宅へ持ち帰る「在宅業務」の問題を取り上げたいと思います。
これらの問題は,情報セキュリティの観点からは以前より存在していました。しかし脚光を浴びるようになったきっかけは,WinnyをはじめとするP2P型ファイル交換ソフトの使用者がコンピュータ・ウイルスに感染して,情報漏えいする事件が多発したことです。
これらのP2Pソフトは主として個人が使用するものですが,その多くが,従業員の自宅パソコン,あるいは職場に持ち込んだ私有パソコンにインストールされていました。漏えい情報が個人のデータだけであれば,企業として関知しない問題ですが,企業や役所のデータが含まれていることも少なくありません。そこで,従業員管理の一環として問題となってきたのです。
私有パソコンの利用には一定条件を定める
それでは,私有パソコンをオフィス業務に利用させることは,法的にはどのように位置付けられるのでしょうか。
私有パソコンを企業オフィスでの業務に利用することを,直接的に禁じる法律はありません(注1)。したがって,私有パソコンの利用が業務上好ましくないと判断するのであれば,社内規程等でその利用を禁止する必要があります。
オフィスでの私有パソコンの利用については,すでに禁止している企業が多いでしょう。以下の観点からも,禁止することが好ましいと思われます。
そもそも私有パソコンは,従業員個人の財産という位置付けになり,企業のコントロールを及ぼすことができません。私有パソコンというと話が分かりにくく感じるかも知れませんが,従業員の私物である携帯電話の中身を企業がチェックできるか,所持品検査が可能かというように言い換えると,「簡単にはできない」ということになります。例えば,従業員の所持品検査について,最高裁の判例は「その性質上常に人権侵害のおそれを伴う」として,厳格な要件を満たした場合のみ認めています(注2)。
私有パソコンを持ち込んでいるかどうかという比較的穏やかな検査は認められるにしても,私有パソコン内部の検査に関しては,厳格な要件を満たさなければならないでしょう。企業側のコントロールを及ぼしにくいということになれば,私有パソコンのセキュリティ状態は従業員まかせになります。後は,推して知るべし。私有パソコンのセキュリティ状態は,企業側で用意したパソコンよりも悪い可能性が確実に高くなります。
どうしても私有パソコンの利用を認めざるを得ないという場合でも,アンチウイルス・ソフトのインストールなど,一定の条件を満たした場合にのみ使用を認めるといった対応が不可欠なのは言うまでもありません。
業務実態に応じた合理的なルール策定が急務
それでは,業務上の情報を持ち帰る「在宅業務」については,どうでしょうか。この点についても,特に法律で禁止されているわけではありません。
ただ,コントロールが及ばないところは,私有パソコンの持込みと同じです。無制限にパソコンやデータの持ち出しを許容できないのは言うまでもありません。個人情報保護法の安全管理措置の一環として,個人データが含まれるデータの持ち出しや,同データの含まれるパソコンの持ち出し等について,なんらルールや規則を設けないことは,安全管理措置違反になりうるといった問題もあります。
そこで,情報持ち出し制限のルールが策定されることになります。比較的よく見られるのは,パソコンや業務用データの持ち出し一切禁止といったルールです。
こうしたルールの背景には,データを管理する側(あるいはコンプライアンスを推進する側)の「一切禁止というルールを策定すれば安全になる」という思い込みがあるのではないでしょうか。しかし,規則は定めれば足りるものではありません。報道などを見る限り,Winnyのウイルス感染による漏えい事故では,データの持ち出し禁止という社内規程に違反して発生したものも散見されます。「ルールを破った従業員が悪い」と非難することは簡単です。しかし機密情報管理の目的は,社内規程やルールを守らせることではありません。個人情報や自社の機密情報を漏えいさせないことで,企業の価値を高め,企業の社会的責任を果たすことが重要なはずです。
情報セキュリティ問題で,発生をゼロにすることは難しいかも知れません。同種の問題が様々な企業,国の機関,地方公共団体で繰り返して発生していることを考え合わせると,企業・組織が構造的に抱えている問題だと言えるでしょう。従業員は,パソコンや機密データを好きで持ち帰っているのではありません。仕事を持ち帰らざるを得ないから,それに付随してデータなどを持ち帰っているわけです。「仕事を持ち帰る」ことにどう対応するのか,という観点から業務フローを見直す。その上で情報セキュリティのリスクなどを勘案してルールを定めなければ,情報漏えいリスクは下がらないのではないでしょうか。
在宅業務せずに済む会社であれば,「一切持ち出し禁止」というルールでもよいでしょう。しかし,在宅業務や情報の社外持ちだしを一切禁止して業務を遂行できる事業者は,それほど多くないでしょう。従業員が実際に守れないルールを策定しても,情報漏えいのリスクを下げることはできません。業務の実態に応じた合理的なルールの策定・見直しが急務です。
もちろん,ルールの策定・見直しだけでなく,その意味・内容も従業員に教育する必要が出てきます。その際も,ルールや規定を教育するだけではなく,ルールが持つ意味,平たく言うとルールを破ることにはどのようなリスクがあるのか,自宅にデータを持ち出すことにはどのようなリスクがあるのかを,具体的に説明する必要があります。
ルールが抽象的なのは,ある程度やむを得ないところがありますが,ルールを説明するだけでは十分ではありません(注3) 。また,持ち出しについて例外を定める場合,ルールが守られているかをチェックすることが必要です。このチェックは,持ちだし時と返却時にチェックするというレベルと,そのようなチェックが実際に行われているかのレベルの二段階で行う必要があるでしょう。
(注1)北海道警Winnyウイルス漏洩事件控訴審判決(平成17年11月11日) では,私有パソコンの使用を禁止しなかったこと自体が不法行為であるという主張に対し,「捜査用のパソコンを各警察官に配備することは,予算上の制約などからして困難であり(弁論の全趣旨),私有パソコンの使用を禁じるべき法的根拠もないから,この点に関する被控訴人の主張は採用できない」と判断しています
(注2)最高裁昭和43年8月2日判決(西日本鉄道事件)
同判決では,所持品検査が適法と認められるためには,
1.所持品検査を必要とする合理的理由があること
2.一般的妥当な方法と程度であること
3.制度として職場従業員に対して画一的に実施されるものであること
4.就業規則その他明示の根拠に基づいて行われているものであること
が必要とされています(ただし,金品の不正隠匿の摘発・防止の事例)
(注3)前掲北海道警Winnyウイルス漏えい事件控訴審判決でも,「北海道警,私有パソコン取扱規制通達」が定められていたのですが,実際には「本件通達の徹底がなされておらず,捜査情報の持ち出し防止について確実な実施が行われていなかった」と認定されており,同通達は機能していませんでした
→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
